1. Manuals
  2. Tumbleweed
  3. sssd
  4. sssd-ldap-attributes(5)

Scroll to navigation

SSSD-LDAP-ATTRIBUT(5) Filformat och konventioner SSSD-LDAP-ATTRIBUT(5)

NAME

sssd-ldap-attributes - SSSD LDAP-leverantör: Avbildningsattribut

BESKRIVNING

Denna manualsida beskriver avbildningsattributen till SSSD LDAP-leverantören sssd-ldap(5). Se manualsidan sssd-ldap(5) för fullständiga detaljer om SSSD LDAP-leverantörens konfigurationsflaggor.

ANVÄNDARATTRIBUT

ldap_user_object_class (sträng)

Objektklassen hos en användarpost i LDAP.

Standard: posixAccount

ldap_user_name (sträng)

LDAP-attributet som motsvarar användarens inloggningsnamn.

Standard: uid (rfc2307, rfc2307bis och IPA), sAMAccountName (AD)

ldap_user_uid_number (sträng)

LDAP-attributet som motsvarar användarens id.

Standard: uidNumber

ldap_user_gid_number (sträng)

LDAP-attributet som motsvarar användarens primära grupp-id.

Standard: gidNumber

ldap_user_primary_group (sträng)

Active Directorys primära gruppattribut för ID-mappning. Observera att detta attribut skall bara sättas manuellt om du kör “ldap”-leverantören med ID-mappning.

Standard: ej satt (LDAP), primaryGroupID (AD)

ldap_user_gecos (sträng)

LDAP-attributet som motsvarar användarens gecos-fält.

Standard: gecos

ldap_user_home_directory (sträng)

LDAP-attributet som innehåller namnet på användarens hemkatalog.

Standard: homeDirectory (LDAP och IPA), unixHomeDirectory (AD)

ldap_user_shell (sträng)

LDAP-attributet som innehåller sökvägen till användarens standardskal.

Standard: loginShell

ldap_user_uuid (sträng)

LDAP-attributet som innehåller UUID/GUID för ett LDAP-användarobjekt.

Standard: inte satt i det allmänna fallet, objectGUID för AD och ipaUniqueID för IPA

ldap_user_objectsid (sträng)

LDAP-attributet som innehåller objectSID för ett LDAP-användarobjekt. Detta är normalt bara nödvändigt för Active Directory-servrar.

Standard: objectSid för Active Directory, inte satt för andra servrar.

ldap_user_modify_timestamp (sträng)

LDAP-attributet som innehåller tidsstämpeln för den senaste ändringen av föräldraobjektet.

Standard: modifyTimestamp

ldap_user_shadow_last_change (sträng)

När ldap_pwd_policy=shadow används innehåller denna parameter namnet på ett LDAP-attribut som utgör dess motsvarighet i shadow(5) (tidpunkt för senaste lösenordsändring).

Standard: shadowLastChange

ldap_user_shadow_min (sträng)

När ldap_pwd_policy=shadow används innehåller denna parameter namnet på ett LDAP-attribut som utgör dess motsvarighet i shadow(5) (minsta lösenordsålder).

Standard: shadowMin

ldap_user_shadow_max (sträng)

När ldap_pwd_policy=shadow används innehåller denna parameter namnet på ett LDAP-attribut som utgör dess motsvarighet i shadow(5) (största lösenordsålder).

Standard: shadowMax

ldap_user_shadow_warning (sträng)

När ldap_pwd_policy=shadow används innehåller denna parameter namnet på ett LDAP-attribut som utgör dess motsvarighet i shadow(5) (varningsperiod för lösenord).

Standard: shadowWarning

ldap_user_shadow_inactive (sträng)

När ldap_pwd_policy=shadow används innehåller denna parameter namnet på ett LDAP-attribut som utgör dess motsvarighet i shadow(5) (inaktivitetsperiod för lösenord).

Standard: shadowInactive

ldap_user_shadow_expire (sträng)

När ldap_pwd_policy=shadow används innehåller denna parameter namnet på ett LDAP-attribut som utgör dess motsvarighet i shadow(5) (tid då kontot går ut).

Standard: shadowExpire

ldap_user_krb_last_pwd_change (sträng)

När ldap_pwd_policy=mit_kerberos används innehåller denna parameter namnet på ett LDAP-attribut som lagrar dag och tid för senaste lösenordsändring i kerberos.

Standard: krbLastPwdChange

ldap_user_krb_password_expiration (sträng)

När ldap_pwd_policy=mit_kerberos används innehåller denna parameter namnet på ett LDAP-attribut som lagrar dag och tid när det nuvarande lösenordet går ut.

Standard: krbPasswordExpiration

ldap_user_ad_account_expires (sträng)

När ldap_account_expire_policy=ad används innehåller denna parameter namnet på ett LDAP-attribut som lagrar tidpunkten när kontot går ut.

Standard: accountExpires

ldap_user_ad_user_account_control (sträng)

När ldap_account_expire_policy=ad används innehåller denna parameter namnet på ett LDAP-attribut som lagrar användarkontots styrbitfält.

Standard: userAccountControl

ldap_ns_account_lock (sträng)

När ldap_account_expire_policy=rhds eller likvärdigt används avgör denna parameter om åtkomst skall tillåtas eller inte.

Standard: nsAccountLock

ldap_user_nds_login_disabled (sträng)

När ldap_account_expire_policy=nds används avgör detta attribut om åtkomst skall tillåtas eller inte.

Standard: loginDisabled

ldap_user_nds_login_expiration_time (sträng)

När ldap_account_expire_policy=nds används avgör detta attribut till vilket datum åtkomst tillåts.

Standard: loginDisabled

ldap_user_nds_login_allowed_time_map (sträng)

När ldap_account_expire_policy=nds används avgör detta attribut vilka timmar på dagen i en vecka åtkomst tillåts.

Standard: loginAllowedTimeMap

ldap_user_principal (sträng)

LDAP-attributet som innehåller användarens användarhuvudmansnamn i Kerberos (UPN).

Standard: krbPrincipalName

ldap_user_extra_attrs (sträng)

Kommaseparerad lista av LDAP-attribut som SSSD skall hämta tillsammans med den vanliga uppsättningen av användarattribut.

Listan kan antingen innehålla endast LDAP-attributnamn, eller kolonseparerade tupler av SSSD-cacheattribut och LDAP-attributnamn. Ifall endast LDAP-attributnamn anges sparas attributet i cachen ordagrant. Att använda ett anpassat SSSD-attributnamn kan vara nödvändigt i miljöer som konfigurerar flera SSSD-domäner med olika LDAP-scheman.

Observera att flera attributnamn är reserverade av SSSD, speciellt attributet “name”. SSSD rapporterar ett fel om något av de reserverade attributnamnen används som ett extra attributnamn.

Exempel:

ldap_user_extra_attrs = telephoneNumber

Spara attributet “telephoneNumber” från LDAP som “telephoneNumber” i cachen.

ldap_user_extra_attrs = phone:telephoneNumber

Spara attributet “telephoneNumber” från LDAP som “phone” i cachen.

Standard: inte satt

ldap_user_ssh_public_key (sträng)

LDAP-attributet som innehåller användarens publika SSH-nycklar.

Standard: sshPublicKey

ldap_user_fullname (sträng)

LDAP-attributet som motsvarar användarens fullständiga namn.

Standard: cn

ldap_user_member_of (sträng)

LDAP-attributet som räknar upp användarens gruppmedlemskap.

Standard: memberOf

ldap_user_authorized_service (sträng)

Om access_provider=ldap och ldap_access_order=authorized_service kommer SSSD använda förekomsten av attributet authorizedService i användarens LDAP-post för att avgöra åtkomstprivilegier.

Ett explicit nekande (!svc) avgörs först. Därefter söker SSSD efter explicit tillåtelse (svc) och slutligen efter allow_all (*).

Observera att konfigurationsalternativet ldap_access_order måste innehålla “authorized_service” för att alternativet ldap_user_authorized_service skall fungera.

Några distributioner (såsom Fedora-29+ eller RHEL-8) inkluderar alltid PAM-tjänsten “systemd-user” som en del av inloggningsprocessen. Därför kan när tjänstebaserad åtkomstkontroll används tjänsten “systemd-user” behöva läggas till till listan av tillåtna tjänster.

Standard: authorizedService

ldap_user_authorized_host (sträng)

Om access_provider=ldap och ldap_access_order=host kommer SSSD använda förekomsten av attributet host i användarens LDAP-post för att avgöra åtkomstprivilegier.

Ett explicit nekande (!host) avgörs först. Därefter söker SSSD efter explicit tillåtelse (host) och slutligen efter allow_all (*).

Observera att konfigurationsalternativet ldap_access_order måste innehålla “host” för att alternativet ldap_user_authorized_host skall fungera.

Standard: host

ldap_user_authorized_rhost (sträng)

Om access_provider=ldap och ldap_access_order=rhost kommer SSSD använda förekomsten av attributet rhost i användarens LDAP-post för att avgöra åtkomstprivilegier. Liknande värdverifieringsprocessen.

Ett explicit nekande (!rhost) avgörs först. Därefter söker SSSD efter explicit tillåtelse (rhost) och slutligen efter allow_all (*).

Observera att konfigurationsalternativet ldap_access_order måste innehålla “rhost” för att alternativet ldap_user_authorized_rhost skall fungera.

Standard: rhost

ldap_user_certificate (sträng)

Namnet på LDAP-attributet som innehåller användarens X509-certifikat.

Standard: userCertificate;binary

ldap_user_email (sträng)

Namnet på LDAP-attributet som innehåller användarens e-postadress.

Note: If an email address of a user conflicts with an email address or fully qualified name of another user, then SSSD will not be able to serve those users properly. This option allows users to login by (1) username, and (2) e-mail address. If for some reason several users need to share the same email address then set this option to a nonexistent attribute name in order to disable user lookup/login by email.

Standard: mail

GRUPPATTRIBUT

ldap_group_object_class (sträng)

Objektklassen hos en gruppost i LDAP.

Standard: posixGroup

ldap_group_name (sträng)

The LDAP attribute that corresponds to the group name. In an environment with nested groups, this value must be an LDAP attribute which has a unique name for every group. This requirement includes non-POSIX groups in the tree of nested groups.

Standard: cn (rfc2307, rfc2307bis och IPA), sAMAccountName (AD)

ldap_group_gid_number (sträng)

LDAP-attributet som motsvarar gruppens id.

Standard: gidNumber

ldap_group_member (sträng)

LDAP-attributet som innehåller namnen på gruppens medlemmar.

Standard: memberuid (rfc2307) / member (rfc2307bis)

ldap_group_uuid (sträng)

LDAP-attributet som innehåller UUID/GUID för ett LDAP-gruppobjekt.

Standard: inte satt i det allmänna fallet, objectGUID för AD och ipaUniqueID för IPA

ldap_group_objectsid (sträng)

LDAP-attributet som innehåller objectSID för ett LDAP-gruppobjekt. Detta är normalt bara nödvändigt för Active Directory-servrar.

Standard: objectSid för Active Directory, inte satt för andra servrar.

ldap_group_modify_timestamp (sträng)

LDAP-attributet som innehåller tidsstämpeln för den senaste ändringen av föräldraobjektet.

Standard: modifyTimestamp

ldap_group_type (sträng)

LDAP-attributet som innehåller ett heltalsvärde som indikerar grupptypen och kanske andra flaggor.

Detta attribut används för närvarande bara av AD-leverantören för att avgöra om en grupp är en domänlokal grupp och behöver filtreras bort för betrodda domäner.

Standard: groupType i AD-leverantören, inte satt annars

ldap_group_external_member (sträng)

LDAP-attributet som refererar gruppmedlemmar som är definierade i en extern domän. För närvarande stödjs endast IPA:s externa medlemmar.

Standard: ipaExternalMember i IPA-leverantören, inte satt annars.

NÄTGRUPPSATTRIBUT

ldap_netgroup_object_class (sträng)

Objektklassen hos en nätgruppspost i LDAP.

I IPA-leverantören skall ipa_netgroup_object_class användas istället.

Standard: nisNetgroup

ldap_netgroup_name (sträng)

LDAP-attributet som motsvarar nätgruppnamnet.

I IPA-leverantören skall ipa_netgroup_name användas istället.

Standard: cn

ldap_netgroup_member (sträng)

LDAP-attributet som innehåller namnen på nätgruppens medlemmar.

I IPA-leverantören skall ipa_netgroup_member användas istället.

Standard: memberNisNetgroup

ldap_netgroup_triple (sträng)

LDAP-attributet som innehåller nätgrupptrippeln (värd, användare, domän).

Detta alternativ är inte tillgängligt i IPA-leverantören.

Standard: nisNetgroupTriple

ldap_netgroup_modify_timestamp (sträng)

LDAP-attributet som innehåller tidsstämpeln för den senaste ändringen av föräldraobjektet.

Detta alternativ är inte tillgängligt i IPA-leverantören.

Standard: modifyTimestamp

VÄRDATTRIBUT

ldap_host_object_class (sträng)

Objektklassen hos en värdpost i LDAP.

Standard: ipService

ldap_host_name (sträng)

LDAP-attributet som motsvarar värdens namn.

Standard: cn

ldap_host_fqdn (sträng)

LDAP-attributet som motsvarar värdens fullständigt kvalificerade domännamn.

Standard: fqdn

ldap_host_serverhostname (sträng)

LDAP-attributet som motsvarar värdens namn.

Standard: serverHostname

ldap_host_member_of (sträng)

LDAP-attributet som räknar upp värdens gruppmedlemskap.

Standard: memberOf

ldap_host_ssh_public_key (sträng)

LDAP-attributet som innehåller värdens publika SSH-nycklar.

Standard: sshPublicKey

ldap_host_uuid (sträng)

LDAP-attributet som innehåller UUID/GUID för ett LDAP-värdobjekt.

Standard: inte satt

TJÄNSTEATTRIBUT

ldap_service_object_class (sträng)

Objektklassen hos en servicepost i LDAP.

Standard: ipService

ldap_service_name (sträng)

LDAP-attributet som innehåller namnet på tjänsteattribut och deras alias.

Standard: cn

ldap_service_port (sträng)

LDAP-attributet som innehåller porten som hanteras av denna tjänst.

Standard: ipServicePort

ldap_service_proto (sträng)

LDAP-attributet som innehåller protokollen som denna tjänst förstår.

Standard: ipServiceProtocol

SUDO-ATTRIBUT

ldap_sudorule_object_class (sträng)

Objektklassen hos en sudo-regelpost i LDAP.

Standard: sudoRole

ldap_sudorule_name (sträng)

LDAP-attributet som motsvarar sudo-regelnamnet.

Standard: cn

ldap_sudorule_command (sträng)

LDAP-attributet som motsvarar kommandonamnet.

Standard: sudoCommand

ldap_sudorule_host (sträng)

LDAP-attributet som motsvarar värdnamnet (eller värdens IP-adress, värdens IP-nätverk eller värdens nätgrupp)

Standard: sudoHost

ldap_sudorule_user (sträng)

LDAP-attributet som motsvarar användarnamnet (eller AID, gruppnamnet eller användarens nätgrupp)

Standard: sudoUser

ldap_sudorule_option (sträng)

LDAP-attributet som motsvarar sudo-alternativen.

Standard: sudoOption

ldap_sudorule_runasuser (sträng)

LDAP-attributet som motsvarar användarnamnet som kommandon får köras som.

Standard: sudoRunAsUser

ldap_sudorule_runasgroup (sträng)

LDAP-attributet som motsvarar gruppnamnet eller grupp-GID:t som kommandon får köras som.

Standard: sudoRunAsGroup

ldap_sudorule_notbefore (sträng)

LDAP-attributet som motsvarar startdagen/-tiden då sudo-regeln är giltig.

Standard: sudoNotBefore

ldap_sudorule_notafter (sträng)

LDAP-attributet som motsvarar utgångsdagen/-tiden då sudo-regeln inte längre är giltig.

Standard: sudoNotAfter

ldap_sudorule_order (sträng)

LDAP-attributet som motsvarar ordningsindexet för regeln.

Standard: sudoOrder

AUTOFS-ATTRIBUT

ldap_autofs_map_object_class (sträng)

Objektklassen hos en automatmonteringskartepost i LDAP.

Standard: nisMap (rfc2307, autofs_provider=ad), annars automountMap

ldap_autofs_map_name (sträng)

Namnet på en automatmonteringskartepost i LDAP.

Standard: nisMapName (rfc2307, autofs_provider=ad), annars automountMapName

ldap_autofs_entry_object_class (sträng)

Objektklassen hos en automatmonteringspost i LDAP. Posten motsvarar vanligen en monteringspunkt.

Standard: nisObject (rfc2307, autofs_provider=ad), annars automount

ldap_autofs_entry_key (sträng)

Nyckeln till en automatmonteringspost i LDAP. Posten motsvarar vanligen en monteringspunkt.

Standard: cn (rfc2307, autofs_provider=ad), annars automountKey

ldap_autofs_entry_value (sträng)

Nyckeln till en automatmonteringspost i LDAP. Posten motsvarar vanligen en monteringspunkt.

Standard: nisMapEntry (rfc2307, autofs_provider=ad), annars automountInformation

IP-VÄRDATTRIBUT

ldap_iphost_object_class (sträng)

Objektklassen för en iphost-post i LDAP.

Standard: ipHost

ldap_iphost_name (sträng)

LDAP-attributet som innehåller namnet på IP-värdattributen och deras alias.

Standard: cn

ldap_iphost_number (sträng)

LDAP-attributet som innehåller IP-värdadressen.

Standard: ipHostNumber

IP-NÄTVERKSATTRIBUT

ldap_ipnetwork_object_class (sträng)

Objektklassen för en ipnetwork-post i LDAP.

Standard: ipNetwork

ldap_ipnetwork_name (sträng)

LDAP-attributet som innehåller namnet på IP-nätverksattributen och deras alias.

Standard: cn

ldap_ipnetwork_number (sträng)

LDAP-attributet som innehåller IP-nätverksadressen.

Standard: ipNetworkNumber

SE ÄVEN

sssd(8), sssd.conf(5), sssd-ldap(5), sssd-ldap-attributes(5), sssd-krb5(5), sssd-simple(5), sssd-ipa(5), sssd-ad(5), sssd-sudo(5), sssd-session-recording(5), sss_cache(8), sss_debuglevel(8), sss_obfuscate(8), sss_seed(8), sssd_krb5_locator_plugin(8), sss_ssh_authorizedkeys(8), sss_ssh_knownhostsproxy(8), sssd-ifp(5), pam_sss(8). sss_rpcidmapd(5)

AUTHORS

SSSD uppströms – https://github.com/SSSD/sssd/

10/01/2024 SSSD